Durante el Día 2 de Pwn2Own Vancouver 2023, los competidores recibieron $475,000 después de explotar con éxito 10 días de cero en múltiples productos.
Los objetivos pirateados incluyeron el Tesla Model 3, la plataforma de comunicaciones Teams de Microsoft, la plataforma virtual Oracle VirtualBox y el sistema operativo Ubuntu Desktop.
Lo más destacado del día dos fue un intento exitoso de David Berard de Synacktiv (@_p0ly_) y Vincent Dehors (@empleado) contra Tesla – la raíz del infoentretenimiento desinhibido.
Esto les valió $ 250,000 y les permitió obtener un Tesla Model 3 después de piratear a través de la pila de desbordamiento y escribir una cadena de explotación OOB.
Thomas Imbert de Synacktiv (@empleado) y Thomas Boozer (@empleado) también explotó con éxito una serie de tres errores de escalada de privilegios en un host de Oracle VirtualBox para ganar $80,000.
En un tercer intento de Synacktiv, Tanguy Dubroca (@empleado) recibió $ 30,000 por la demostración de un punto de referencia de día cero incorrecto que resultó en una escalada de privilegios en el escritorio de Ubuntu.
Equipo Vettel (@empleado) también pirateó Microsoft Teams a través de un error de la Serie 2 para ganar $ 78,000 y VirtualBox de Oracle con un error de uso después de libre (UAF) y una variable no inicializada por $ 40,000.
El día 1, los competidores de Pwn2Own recibieron $ 375,000 y un automóvil Tesla Model 3 después de lanzar con éxito 12 Zero Days en Tesla Model 3, Windows 11, Microsoft SharePoint, Oracle VirtualBox y macOS.
En el último día de la competencia, los investigadores de seguridad intentarán exploits de día cero en Ubuntu Desktop, Microsoft Teams, Windows 11 y VMware Workstation.
Pwn2Own Vancouver 2023 Los concursantes pueden ganar $1,080,000 en efectivo y dos autos Tesla Model 3 entre el 22 y el 24 de marzo.
Investigadores Los productos serán dirigidos de múltiples categorías durante la competencia, incluidas aplicaciones empresariales, comunicaciones empresariales, servidores, virtualización, automotriz y escalamiento de privilegios locales (EoP).
«El evento de este año promete una investigación emocionante, ya que tenemos 19 entradas dirigidas a nueve objetivos diferentes, incluidos dos intentos de Tesla», dijo ZDI.
“Para el evento de este año, cada ronda pagará el precio completo, lo que significa que si todas las hazañas tienen éxito, otorgaremos más de $ 1,000,000 USD”.
Los proveedores deben parchear las vulnerabilidades de día cero probadas y divulgarlas a través de Pwn2Own dentro de los 90 días antes de que la Iniciativa de Día Cero de Trend Micro publique los detalles técnicos públicamente.
En Pwn2Own Vancouver 2022, los investigadores de seguridad ganaron $ 1,155,000 después de que un sistema de infoentretenimiento Tesla Model 3 fuera pirateado, colapsando Windows 11 seis veces, mostrando tres Microsoft Teams cero días y explotando Ubuntu Desktop cuatro veces.
«Fan web incurable. Entusiasta de la comida típica. Experto en twitter galardonado. Tvaholic».
/cdn.vox-cdn.com/uploads/chorus_asset/file/25407815/Screen_Shot_2024_04_18_at_4.13.30_PM.png)